24.01.2013 13:03
ICS-CERT warnt vor SCADA-Passwortknacker
Das für die Sicherheit von industriellen Steuerungssystemen zuständige ICS-CERT warnt (PDF) vor einem Tool, mit dem das Passwort speicherprogrammierbarer Steuerungen geknackt werden kann. Das Python-Skript wurde von den beiden Sicherheitsexperten Alexander Timorin und Dmitry Sklyarov entwickelt, die der Forschergruppe SCADA StrangeLove angehören.
Es versucht per Brute Force das Passwort der speicherprogrammierbaren Steuerungen SIMATIC S7 von Siemens zu knacken. Allerdings probiert es die Passwörter dazu nicht direkt am Controller durch, sondern offline anhand eines Netzwerkmitschnitts, der eine Authentifizierung enthalten muss.
Authentifiziert wird über das Challenge-Response-Verfahren. Dabei schickt das Gegenüber zunächst eine Zufallszahl, die sogenannte Challenge. An die Challenge hängt der andere Verbindungspartner den Hash seines Passworts. Das Ergebnis wird noch einmal gehasht und schließlich als Response an das Gegenüber zurückgeschickt. Das macht genau das Gleiche mit dem erwarteten Passwort. Stimmt das Ergebnis mit der Response des Verbindungspartners überein, gelingt die Authentifizierung.
Das Skript der Forscher extrahiert Challenge und Response aus dem Netzwerkmitschnitt. Anschließend probiert es so lange Passwörter durch, bis nach dem Hashen die abgefangene Response dabei herauskommt. Gibt es einen Treffer, ist das Klartext-Passwort bekannt. Da das Knacken einen Netzwerkmittschnitt voraussetzt, müsste sich ein Angreifer freilich zunächst einmal Zugriff auf das Netz verschaffen.
Das ICS-CERT gibt an, dass die Veröffentlichung des Berichts, der das besagte Python-Skript enthält, weder mit dem CERT noch mit dem Hersteller der betroffenen Industriesteuerungen abgesprochen war. Es könne sein, dass der Code auch für Anlagen anderer Hersteller als Siemens angepasst wird.
Um das Angriffsrisiko zu verkleinern, gibt das ICS-CERT die üblichen Tipps: Steuersysteme sollten nicht über das Internet erreichbar sein, von Firewalls geschützt und vom Firmennetz isoliert werden. Der Fernzugriff darf nur über sichere Methoden wie VPN möglich sein. Die Realität sieht allerdings oft anders aus.
(rei)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
